安全Webサーバ運用(apache Webサーバのセキュア設定)@2015.01.01
当社では、大手企業のWebシステムを開発し、運用する機会が多いのですが、apacheを用いたWebサーバ運用では、不正アクセスなどの攻撃をより防ぐために、apacheバージョンやOpenSSLバージョンの非表示や、ssl暗号化強度を強化するようにしています。下記は、CentOSやRedhat Enterprise (RHEL) の例です。(ubuntuやDebianでは、/etc/apache2/conf.d/securityの内容を変更してください。)
apacheバージョンの非表示化
- /etc/httpd/httpd.confの下記を変更
-
ServerTokens OS
↓
ServerTokens Prod
OpenSSLのバージョンを非表示化
- /etc/httpd/httpd.confの下記をコメントアウト
-
Include conf/extra/httpd-default.conf
ssl暗号化強度の強化
- /etc/httpd/conf.d/ssl.confの下記を変更 (SSLv2、SSLv3の利用を禁止)
SSLCipherSuite ALL:!ADH:!EXPORT:!SSLv2:RC4+RSA:+HIGH:+MEDIUM:+LOW ↓ SSLCipherSuite ALL:!aNULL:!eNULL:!RC4:!RC2:!MD5:!DES:!IDEA:!ADH:!EXPORT:!SSLv2:!SSLv3:+HIGH:+MEDIUM:!PSK:!DH:!KRB5:!CAMELLIA:!SEED
(技術開発部 林經正)